01.02.2009

Бизнес-модель информационной безопасности

ISACA опубликовала достаточно интересный документ под названием "An Introduction to the Business Model for Information Security", который описывает бизнес-модель информационной безопасности. Всегда восхищался людьми, которые могут графически просто изобразить сложную задачу или процесс. Представленная ISACA (правда они сами ее позаимствовали) модель очень наглядно иллюстрирует различные аспекты ИБ в компании и ее связь с бизнесом.



Мы имеем всего 4 ключевых узла - организация, люди, процессы и технологии. Именно то, что и определяет ИБ в любой организации. Связи между ними, если посмотреть на картинку, это те "проблемы", о которых многие просто не думают или забывают - человеческий фактор, культура ИБ, архитектура ИБ, корпоративное управление ИБ и т.п.

Модель очень хорошая, но я бы все-таки ее улучшил и добавил бы к ней четыре замкнуто-циклических связи к каждому из основных узлов (ну или рассматривал бы эти темы внутри каждого узла). Для узла "люди" эту связь я бы назвал психология безопасности или психология отношения к рискам. Для узла "технологии" речь разумеется идет о развитии самих технологий ИБ. Для узла "организация" отдельно надо говорить о финансовой составляющей, т.к. мало понимать бизнес-цели предприятия, нужно еще и уметь говорить о безопасности на языке денег (NPB, IRR, PbP, пресловутый ROI и т.п.). Ну а для узла "процессы" обязательно надо не забыть про систему качества.

ЗЫ. Сам документ можно скачать с сайта ISACA.

8 коммент.:

swan комментирует...

Вряд ли стоит восхищаться картинкой...
Такие картинки рисовать очень просто...
берем 4-5 основных объектов (субъективно) основные связи (каждый с каждым) и свойства отношений (субъективно) по сути картинка ради картинки...
Всетаки, если самолет красивый - не факт что полетит ...
Но один из способов представить свое субъективное мнение схемой "ниочем" встречается часто.

Субъективность можно показать на примере...

"есть некая фирама из 3х человек - директора, менеджера и программиста. И вот эта фирма работала над получением огромного гранда на разработку. И через пол года получила". Все работали по своим направлениям...НО

Оказывается что нет никаких методов чтобы оценить чей вклад в цепь событий был решающим для достижения цели!!!

Каждый сотрудник считает что именно его какой то шаг привел к получению гранда, может быть они даже поняли что каждый внес свой вклад... НО

На самом деле гранд они получили совсем по другим причинам с их поступками никак не связанным !!!

Примерно то же самое с ИБ - попробуйте предложить метод оценки - почему ваша контора НЕ пострадала из за вопросов ИБ ?

swan комментирует...

Примерно то же самое с ИБ - попробуйте предложить метод оценки - почему ваша контора НЕ пострадала из за вопросов ИБ ?

При этом другой парадокс - для того чтобы получить фактические данные по вопросам ИБ - необходимо иметь не только средства ИЗ но и средства анализа и т.д и т.п.

а если не появится фактов - то зачем вкладывали деньги ну и т.п.

Вывод простой - чем дальше в лес - тем больше дров !!!

Алексей Лукацкий комментирует...

Ничего не понял ;-)

swan комментирует...

Ну.. эээ... как нибуть за бутылочкой виски... )))

Алексей Лукацкий комментирует...

Плюс в этой картинке не в ее красоте, а в ее смысле ;-) Нечасто видишь картинки, в которых ИБ не концентрируется на технологиях, а учитывает гораздо более важные составляющие.

AndrewZ комментирует...

Картинка не впечатлила. Непонятно, для какой задачи она может быть полезна. Видеть перед глазами природу факторов риска?
И где на схеме узел "ресурсы"?

Алексей Лукацкий комментирует...

Для понимания ИБ во всем ее многообразии. Это же модель.

Что касается ресурсов, то о каких идет речь? Людских? Есть в узле "people". Информационных? В узле "organization" или "technology".

AndrewZ комментирует...

Позволю себе не согласиться.
Это не модель, а просто концепция. Моделью она была бы, если бы была понятна степень взаимосвязи узлов.
Говоря о ресурсах - имел ввиду в первую очередь информационные ресурсы. Узел "technology" не может определять ценность активов, используемых людьми посредством технологий для реализации процессов.